Cloudflare Gateway 隨時隨地為團隊提供保護

2020 年 1 月，我們發(fā)布了 Cloudflare for Teams，這是一種在不犧牲性能的前提下保護組織及其遍布全球的員工的新方式。Cloudflare for Teams 內(nèi)含 Cloudflare Access 和 Cloudflare Gateway 這兩大和核心產(chǎn)品。

2020 年 3 月，Cloudflare 發(fā)布了 Cloudflare Gateway 的首個功能 —— 由全球最快 DNS 解析器提供支持的安全 DNS 過濾解決方案。Gateway 的 DNS 過濾功能通過阻止對可能涉及惡意軟件、網(wǎng)絡(luò)釣魚或勒索軟件等威脅的有害目的地的 DNS 查詢來確保用戶安全。組織只需更改辦公室中的路由器設(shè)置，便可確保整個團隊的安全，用時只需大約五分鐘。

發(fā)布后不久，許多公司開始全員撤離辦公室。用戶聯(lián)網(wǎng)上線的家庭辦公室原本是臨時使用，在過去幾個月中卻變?yōu)楣潭ㄞk公地點了。保護用戶和數(shù)據(jù)已從單一辦公室級設(shè)置，變成需要對成百上千個地點的用戶和設(shè)備進行管理。

互聯(lián)網(wǎng)上的安全威脅也已發(fā)生改變。網(wǎng)絡(luò)釣魚活動和惡意軟件攻擊在過去六個月里有所抬頭。而要檢測這些類型的攻擊，需要更加深入的探究，不僅僅是 DNS 查詢。

我們很高興宣布，Cloudflare Gateway 如今包含能夠攻克這些新挑戰(zhàn)的兩項功能。首先，Cloudflare Gateway 與 Cloudflare WARP 桌面客戶端集成。我們的 WARP 圍繞 WireGuard 而構(gòu)建，這是一種新穎且高效的 VPN 協(xié)議，比傳統(tǒng) VPN 協(xié)議更加有效和靈活。

其次，Cloudflare Gateway 已變成一種安全 Web 網(wǎng)關(guān)并可執(zhí)行 L7 過濾，能夠檢查流量中隱匿的威脅。如同我們的 DNS 過濾和 1.1.1.1 解析器一樣，奠定這兩項功能的基礎(chǔ)是我們向全球數(shù)百萬用戶提供 Cloudflare WARP 所得的一切收獲。

保護分布式勞動力的安全

我們的客戶主要采用分布式勞動力，員工分散在公司辦公室和自己的家中。鑒于疫情的關(guān)系，這將成為他們在短期內(nèi)的工作環(huán)境。

用戶不處于固定的已知位置（例外允許遠程工作），這給已經(jīng)負擔(dān)繁重的 IT 人員帶來了挑戰(zhàn)：

1. VPN 采用全有或全無方法，提供對內(nèi)部應(yīng)用程序的遠程訪問。我們通過 Cloudflare Access 和零信任方法來解決這個問題，為內(nèi)部應(yīng)用程序以及現(xiàn)在的 SaaS 應(yīng)用程序提供安全保護。

2. VPN 不僅速度慢，成本又高。然而，將流量回傳到集中式安全邊界一直是實施企業(yè)內(nèi)容與安全策略以保護漫游用戶的主要方法。Cloudflare Gateway 因此誕生，為我們的客戶解決這一問題。

直到今天，Cloudflare Gateway 一直通過 DNS 過濾為我們的客戶提供安全性。盡管這在一定程度上提供了無關(guān)應(yīng)用程序的安全與內(nèi)容控制，但它依然給客戶留下了幾個難題：

1. 客戶需要注冊將 DNS 查詢發(fā)送到 Gateway 的所有位置的源 IP 地址，以便可以標識其組織的流量以執(zhí)行策略。對于具有數(shù)百個地點的大型組織，即使算不上棘手，也一定乏味不堪。

2. DNS 策略相對粗糙，針對各個域采取全有或全方法來執(zhí)行。例如，組織缺乏相應(yīng)的能力，無法在允許訪問云存儲提供商的同時，阻止從已知惡意 URL 下載有害文件。

3. 注冊了 IP 地址的組織頻繁使用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）流量，在許多用戶之間共享公共 IP 地址。這會導(dǎo)致無法查閱個體用戶層面上的 DNS 活動日志。雖然 IT 安全團隊能夠發(fā)現(xiàn)惡意的域被阻止，但他們必須要使用額外的剖析工具才能跟蹤可能被入侵的設(shè)備。

從今天開始，我們通過將 Cloudflare for Teams 客戶端與 L7 云防火墻相結(jié)合，使 Cloudflare Gateway 突破安全 DNS 過濾解決方案的局限?？蛻衄F(xiàn)在可以拋棄其集中式安全邊界內(nèi)的又一種硬件設(shè)備，直接從 Cloudflare 邊緣為其用戶提供企業(yè)級安全性。

保護用戶并防止企業(yè)數(shù)據(jù)丟失

由于所有應(yīng)用程序都利用 DNS 過濾進行互聯(lián)網(wǎng)通信，因此 DNS 過濾為整個系統(tǒng)乃至網(wǎng)絡(luò)奠定安全性基礎(chǔ)。不過，細化的策略實施以及對流量是否應(yīng)歸類為惡意的可見性是由特定于應(yīng)用程序的保護來提供的。

如今，我們能夠擴展 DNS 過濾所提供的保護了，通過添加一個 L7 防火墻，讓我們的客戶能夠?qū)踩院蛢?nèi)容策略應(yīng)用于 HTTP 流量。這不僅為管理員提供了一個更好的工具，借助 HTTP 會話內(nèi)細粒度控件來保護用戶，還賦予管理員對策略執(zhí)行的可見性。同樣重要的是，它也讓我們的客戶更有力地掌控其數(shù)據(jù)的駐留位置?？蛻艨梢酝ㄟ^制定策略，根據(jù)文件類型、請求是上傳還是下載文件，或者目的地是否為組織的認可云存儲提供商來指定是允許還是阻止請求。

通過利用 Cloudflare for Teams 客戶端連接到 Cloudflare，企業(yè)能夠保護其用戶的互聯(lián)網(wǎng)流量，不論這些用戶身處何方。此客戶端能讓用戶快速、安全地連接距離最近的 Cloudflare 數(shù)據(jù)中心，它的基礎(chǔ)是全球數(shù)百萬用戶連接互聯(lián)網(wǎng)的同一 Cloudflare WARP 應(yīng)用程序。由于客戶端在本質(zhì)上使用了同一 WARP 應(yīng)用程序，企業(yè)可以確信它已經(jīng)過規(guī)?；瘻y試，能夠在不犧牲性能的同時提供安全性。Cloudflare WARP 通過利用 WireGuard 連接到 Cloudflare 邊緣，以優(yōu)化網(wǎng)絡(luò)性能。

因此，企業(yè)用戶能夠獲得既安全又性能高的連接，無論他們身在何處，也不需要將網(wǎng)絡(luò)流量回傳到集中式安全邊界。通過使用 Cloudflare for Teams 客戶端連接到 Cloudflare Gateway，對所有出站互聯(lián)網(wǎng)流量應(yīng)用過濾策略來保護企業(yè)用戶，從而在用戶瀏覽互聯(lián)網(wǎng)時保護他們并防止丟失公司數(shù)據(jù)。

Cloudflare Gateway 現(xiàn)在可基于包括如下在內(nèi)的各種條件來支持 HTTP 流量過濾：

若要補充 DNS 過濾策略，IT 管理員現(xiàn)在可以創(chuàng)建 L7 防火墻規(guī)則來對 HTTP 流量應(yīng)用細化的策略。

例如，管理員可能想要允許用戶瀏覽 Reddit 的有用部分，但阻止不需要的部分。

或者，為了預(yù)防數(shù)據(jù)丟失，管理員可能會創(chuàng)建一條規(guī)則，允許用戶接收來自流行云存儲提供商的內(nèi)容，但禁止他們從企業(yè)設(shè)備上傳特定文件類型。

另一名管理員可能想要防止惡意文件通過 zip 文件下載潛入進來，因而可能會決定通過配置規(guī)則來阻止下載壓縮文件類型。

使用我們的 DNS 過濾類別來保護內(nèi)部用戶之后，管理員可能想根據(jù)完整 URL 的分類來簡單地阻止安全威脅。惡意軟件有效載荷經(jīng)常從云存儲傳播，使用 DNS 過濾，時，管理員必須選擇是允許還是拒絕給定存儲提供商訪問整個域。URL 過濾使管理員能夠過濾對惡意軟件有效載荷所駐留的確切 URL 的請求，以便客戶能夠繼續(xù)發(fā)揮所選存儲提供商的用處。

而且，由于 Cloudflare for Teams 客戶端可以實現(xiàn)所有這些功能，因此具有漫游客戶端的分布式工作者不論身在何處，都可以通過與距離最近的 Cloudflare 數(shù)據(jù)中心的安全連接來獲得這種保護。

通過檢查 HTTP 流量，我們能夠為瀏覽互聯(lián)網(wǎng)的團隊提供保護，但是非 HTTP 流量呢？今年晚些時候，我們將通過使用 L4 云防火墻添加對 IP、端口和協(xié)議過濾的支持來擴展 Cloudflare Gateway。這樣，管理員可以將規(guī)則應(yīng)用到所有流向互聯(lián)網(wǎng)的流量，例如允許出站 SSH 的規(guī)則，或決定是否將到達非標準端口的 HTTP 流量發(fā)送到 L7 防火墻以進行 HTTP 檢查的規(guī)則。

發(fā)布之后，Cloudflare Gateway 將允許管理員創(chuàng)建策略來過濾組織中所有用戶之間的 DNS 和 HTTP 通信。這為安全性奠定了良好的基礎(chǔ)。但是，凡事都有例外：一刀切的內(nèi)容與安全策略實施方法極少能滿足所有用戶的具體需求。

為解決這個問題，我們正在努力將 Cloudflare Access 與客戶現(xiàn)有的身份提供商集成，以支持基于用戶和組身份的規(guī)則。這將使管理員能夠創(chuàng)建細化的規(guī)則，利用與用戶相關(guān)的上下文，例如：

• 拒絕所有用戶訪問社交媒體。但是，如果 John Doe 是營銷部門的成員，則被允許訪問這些網(wǎng)站以履行其職責(zé)。

• 僅允許 Jane Doe 通過 Cloudflare Gateway 連接到特定的 SaaS 應(yīng)用程序，或者僅允許某一種設(shè)備狀態(tài)。

由于用戶不會固定在已知的工作場所，基于身份的策略實施和日志可見性的需求與日俱增。我們通過使用 Cloudflare for Teams 客戶端集成身份識別并且隨時隨地保護用戶來滿足這種需求。

下一步

人們開辦企業(yè)不是為了應(yīng)對信息技術(shù)和安全性的細枝末節(jié)。他們有著遠大的理想，將自己的產(chǎn)品或服務(wù)推向全世界，我們希望能夠讓他們回到正軌為實現(xiàn)理想而奮斗。我們可以幫助消除與實施高級安全工具的難點，這些工具通常是為更大型、更復(fù)雜的組織而保留的，我們希望所有團隊不論規(guī)模大小都可以使用它們。

Cloudflare for Teams 客戶端和 L7 防火墻的發(fā)布為先進的安全 Web 網(wǎng)關(guān)奠定了基礎(chǔ)，它將集成防病毒掃描、CASB 和遠程瀏覽器隔離等諸多功能，并且一切都在 Cloudflare 邊緣執(zhí)行。很高興分享這些信息，揭開我們團隊所建設(shè)未來的一角 —— 這條道路才剛剛起步。

立即開始使用

這些新功能全部準備就緒，馬上供您享用。L7 防火墻通過獨立版 Gateway、Teams Standard 和 Teams Enterprise 計劃提供。只需注冊 Gateway 帳戶并完成入門培訓(xùn)，即可開始使用。